Schwerpunkte

»Top 20 Secure PLC Coding Practices«

Sichere Programmierpraktiken für SPSen publiziert

15. Juni 2021, 21:46 Uhr   |  Andreas Knoll

Sichere Programmierpraktiken für SPSen publiziert
© PLC-Security-Projekt

Das Logo des PLC-Security-Projekts

Zum ersten Mal wurden jetzt »Secure Coding Practices« für speicherprogrammierbare Steuerungen (SPSen) veröffentlicht. Solche Programmierprinzipien, die helfen, Security zu berücksichtigen, sind für IT-Software gängig, aber für das Programmieren von SPSen gab es so etwas bislang nicht.

»Secure Coding Practices« für SPSen sind vor allem für die Absicherung kritischer Infrastrukturen - etwa von Stromversorgern, Wasserversorgern und Nahrungsmittelproduzenten - relevant, die in Deutschland durch das jüngst verabschiedete IT-Sicherheitsgesetz 2.0 stärker reguliert worden ist.

Die »Top 20 Secure PLC Coding Practices« sind das Ergebnis eines internationalen Community-Projekts, für das alle Mitarbeitenden ehrenamtlich tätig waren. Nach über einem Jahr Arbeit steht das Projektergebnis jetzt auf https://www.plc-security.com zum kostenfreien Download bereit. Es enthält eine zweiseitige Zusammenfassung aller 20 »Programmierpraktiken« sowie weitergehende Informationen auf bis zu vier Seiten je »Practice«, eine Anleitung, Hintergrundinformationen, Security-Nutzen, Implementierungsbeispiele und Referenzen auf verwandte Standards und Frameworks.

Ziel des Projekts

Das Dokument ist frei verfügbar und mit einer maximal freigiebigen Lizenz ausgestattet, die jegliche Weiterverwendung, Kopie und Nutzung für kommerzielle und nicht-kommerzielle Zwecke erlaubt. Der Wunsch der Projektinitiatoren und des Projektteams ist es, das bislang fehlende Wissen über sichere Programmierung von SPSen zu verbreiten und fest im Wissensschatz von SPS-Programmierern, -Nutzern und -Herstellern zu verankern. Die Secure Coding Practices könnten in Informationssicherheits-Management-Systemen, Leitlinien für die sichere Systementwicklung sowie in Anforderungen für Lieferanten genutzt werden.

Das Dokument darf und soll daher genutzt und kommentiert werden - auf der Projekt-Website wird ein Kommentarformular zur Verfügung stehen. Vor allem das Feedback von Anwendern und Herstellern von SPSen ist ausdrücklich erwünscht. Die »Top 20 Secure PLC Coding Practices« sollen regelmäßig aktualisiert werden.

Eine weitere Zusammenarbeit ist unter anderem mit einem Team der US-amerikanischen Organisation MITRE geplant, das analog zur bekannten, ebenfalls bei MITRE entwickelten »Common Vulnerability Enumeration« (CVE) eine »Common Weakness Enumeration« (CWE) erarbeitet. SPSen fehlen auch dort. Zudem wird es voraussichtlich Trainingsangebote zu den Top 20 Secure PLC Coding Practices geben.

Hintergrund und Entstehung

Die Leitung des Community-Projekts hatten Sarah Fluchs, CTO des auf industrielle IT-Security spezialisierten deutschen Beratungsunternehmens Admeritia, und Vivek Ponnada, tätig für General Electric Canada, inne. Das Projekt wurde mit Infrastruktur unterstützt von der Dale Peterson und S4xEvents, der ISA Global Cybersecurity Alliance und der Firma Admeritia, die auch die Website des Projekts mit der Liste der Top 20 Secure PLC Coding Practices und weiterführenden Informationen betreibt.

Für Experten der industriellen Security ist schon lange klar, dass SPSen zu den verwundbarsten Komponenten in automatisierten Anlagen gehören. Es gibt zahlreiche Berichte über Schwachstellen und inhärent unsichere Features in Steuerungen, die nicht zuletzt für die bekannten Security-Vorfälle Stuxnet oder Triton / Trisis ausgenutzt wurden. Dem gegenüber stand bisher jedoch wenig Konkretes, um SPSen sicherer zu machen.

Dementsprechend war die Resonanz auf das Community-Projekt von Anfang an groß: Auf der eigens für das Projekt erstellten öffentlichen Plattform (top20.isa.org) registrierten sich knapp 1000 Nutzer, reichten Secure Coding Practices ein, kommentierten die Einreichungen und wählten die Top 20 der wichtigsten Programmierpraktiken aus. Die Zielgruppe des Projekts sind SPS-Programmierer. Auch von deutschen Integratoren, Betreibern und Verbänden aus dem Kontext der Automatisierungstechnik waren Mitglieder an der Erstellung beteiligt.

Auf Facebook teilen Auf Twitter teilen Auf Linkedin teilen Via Mail teilen

Verwandte Artikel

General Electric Dtl. Holding GmbH